Úrlausnir

Úrskurður um birtingu opinberrar stofnunar á persónuupplýsingum

Mál nr. 2017/1594

8.3.2018

Persónuvernd hefur úrskurðað að birting opinberrar stofnunar á persónuupplýsingum um kvartanda, sem finna mátti í niðurstöðu nefndar sem birt var á vefsíðu stofnunarinnar, hafi ekki samrýmst lögum nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga. 

Úrskurður

 

Á fundi stjórnar Persónuverndar þann 8. mars 2018 var kveðinn upp svohljóðandi úrskurður í máli nr. 2017/1594:


I.

Málsmeðferð

1.

Tildrög máls

Þann 1. nóvember 2017 barst Persónuvernd kvörtun frá [A] (hér eftir nefnd kvartandi) vegna birtingar persónuupplýsinga um hana á vefsíðu [stofnunar X]. Í kvörtuninni segir meðal annars:

„Þann [...] 2017 birti [yfirmaður B] álit [nefndar Y] á heimasíðu stofnunarinnar í tilefni þess að [...]. Umrætt álit inniheldur viðkvæmar persónuupplýsingar um undirritaða m.a. um heilsufar.“

Þá segir jafnframt í kvörtuninni að birtingin sé meiðandi og komi með ýmsum hætti inn á einkahagi kvartanda og það geti ekki varðað almannahagsmuni að þær upplýsingar séu birtar. Með kvörtuninni fylgdi afrit af niðurstöðu [nefndar Y] frá [...] eins og hún var birt á vefsíðu [stofnunarinnar]. Í niðurstöðunni hafa persónuauðkenni ekki verið afmáð auk þess sem fram kemur að kvartandi hafi verið í veikindaleyfi [á tilteknu tímabili].

 

2.

Bréfaskipti

Með bréfi, dags. 4. desember 2017, var [stofnun X] boðið að koma á framfæri skýringum vegna kvörtunarinnar. Í svarbréfi [stofnunarinnar], dags. 18. desember 2017, kemur meðal annars fram að kvartandi hafi sent [samstarfsmönnum erindi sem innihélt gagnrýni á tiltekna starfsmenn og stjórnendur stofnunarinnar] Þá telur [stofnun X] að framangreind yfirlýsing feli í sér opinbera birtingu.

Í bréfinu segir jafnframt að í áliti [nefndar Y] komi engar heilsufarsupplýsingar fram um kvartanda aðrar en þær að hún hafi ekki treyst sér til að vinna við stofnunina, meðal annars vegna ágreinings um [...] og hegðunar [C] og [D] í hennar garð. Þess sé jafnframt getið að hún hafi verið í veikindaleyfi í tiltekinn tíma en engin leynd hafi hvílt yfir því leyfi.

Þá kemur fram að birting [álits nefndar Y] hafi verið andsvar [stofnunarinnar] við þeim [ummælum] sem kvartandi hafi haft í frammi gagnvart [starfsfólki stofnunarinnar]. Nauðsynlegt hafi verið að koma því á framfæri hvernig [nefnd Y] hafi fjallað um [ummælin].

Enn fremur segir að með birtingu álitsins hafi meðalhófs verið gætt og ekki gengið lengra en tilefni var til, sbr. 1. tölul. 1. mgr. 7. gr. laga nr. 77/2000.

Með bréfi, dags. 29. janúar 2018, var kvartanda boðið að koma á framfæri athugasemdum sínum við framkomnar skýringar [stofnunarinnar] til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Í svarbréfi kvartanda, dags. 12. febrúar 2018, segir meðal annars að málið varði samskipti sem kvartandi hafi átt við samstarfsmenn sína í tölvupósti en kvartandi hafi þar sett fram gagnrýni á [...]. Markhópur samskiptanna hafi verið vandlega afmarkaður enda hafi þau ekki verið ætluð almenningi. Álit [nefndar Y] hafi verið óvenju efnismikið og hafi komið inn á ýmis hliðarmál sem hafi varðað viðkvæmar persónuupplýsingar um kvartanda.

Jafnframt kemur fram að umfjöllun nefndarinnar hafi verið mun víðtækari en ætla mætti út frá þessum afmörkuðu atriðum sem fjalla hafi þurft um og því hafi nefndin farið út um víðan völl miðað við tilefnið. Í stað þess að birta niðurstöðu [nefndarinnar] í heild sinni hefði verið eðlilegra að birta aðeins meginniðurstöðu nefndarinnar á sama vettvangi og þar sem fyrrnefnd skoðanaskipti fóru fram.

Að endingu kemur fram að ekki verði annað séð en að markmiðið með því að fara þá leið sem [yfirmaður B] hafi valið, þ.e. að birta álitið í heild sinni, þ. á m. ýmsar upplýsingar sem ekki hafi varðað ágreiningsefnið, hafi verið að valda kvartanda sárindum.

 

II.

Forsendur og niðurstaða

1.

Gildissvið laga nr. 77/2000

Lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga gilda um sérhverja rafræna vinnslu persónuupplýsinga og handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá, sbr. 1. mgr. 3. gr. laganna. Persónuupplýsingar eru skilgreindar í 1. tölul. 2. gr. laganna sem sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi. Hugtakið vinnsla er skilgreint sem sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. laganna. Í athugasemdum við það ákvæði í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu. Af þessu öllu er ljóst að hér ræðir um meðferð persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Eins og hér háttar til telst [stofnun X] vera ábyrgðaraðili að umræddri vinnslu.

 

2.

Lögmæti vinnslu

Öll vinnsla persónuupplýsinga verður að samrýmast einhverri af kröfum 8. gr. laga nr. 77/2000. Þá verður vinnsla viðkvæmra persónuupplýsinga, s.s. upplýsinga um heilsuhagi, sbr. 8. tölul. 2. gr. sömu laga, að samrýmast einhverju af viðbótarskilyrðum 9. gr. laganna.

Óumdeilt er að niðurstaða [nefndar Y] frá [...] var birt á vefsíðu [stofnunar X]. Við birtingu niðurstöðunnar voru persónuauðkenni ekki afmáð. Þá er einnig til þess að líta að í niðurstöðunni kemur meðal annars fram að kvartandi hafi verið í veikindaleyfi [á nánar tilgreindu tímabili]. Persónuvernd leggur til grundvallar að upplýsingar sem þessar séu viðkvæmar persónuupplýsingar en vinnsla þeirra þarf, sem fyrr greinir, að samrýmast bæði 8. og 9. gr. laga nr. 77/2000.

Þau ákvæði 8. gr. laga nr. 77/2000, sem einkum reynir á í tengslum við vinnslu persónuupplýsinga hjá stjórnvöldum, eins og hér um ræðir, eru 3. og 6. tölul. 1. mgr. ákvæðisins, þess efnis að vinnsla persónuupplýsinga sé heimil sé hún nauðsynleg til að fullnægja lagaskyldu eða við beitingu opinbers valds. Samkvæmt 2. tölul. 1. mgr. 9. gr. laga nr. 77/2000 getur vinnsla viðkvæmra persónuupplýsinga jafnframt stuðst við sérstaka heimild samkvæmt öðrum lögum. Við mat á því hvort sú vinnsla persónuupplýsinga sem hér um ræðir, þ.e. birting viðkvæmra persónuupplýsinga um kvartanda í ákvörðun [nefndar Y], telst heimil verður því að líta til þeirra lagareglna sem um málefnið gilda. Ekki verður hins vegar séð að [stofnun X] hafi heimild í lögum til að birta viðkvæmar persónuupplýsingar [með birtingu niðurstaðna nefndar Y]. Þá verður ekki séð að vinnslan geti stuðst við aðra heimild í 9. gr. laga nr. 77/2000. Þegar af þeirri ástæðu telst hún óheimil.

Að auki þarf, sem ávallt við vinnslu persónuupplýsinga, að vera fullnægt öllum grunnkröfum 1. mgr. 7. gr. laga nr. 77/2000. Í því felst meðal annars að vinnsla skal vera sanngjörn, málefnaleg og lögmæt og samræmast vönduðum vinnsluháttum persónuupplýsinga, sbr. 1. tölul. 1. mgr. 7. gr., og að persónuupplýsingar séu nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar, sbr. 3. tölul. 1. mgr. sömu greinar.

Persónuvernd telur að vinnsla [stofnunar X] á persónuupplýsingum um kvartanda í niðurstöðu [nefndar Y], með birtingu niðurstöðunnar á vefsíðu hans, samrýmist ekki grundvallarsjónarmiðum um meðalhóf og málefnalega vinnslu persónuupplýsinga, sbr. 1. og 3. tölul. 1. mgr. 7. gr. laga nr. 77/2000. Til þess er að líta að stjórnvöld hafa almennt afmáð persónuauðkenni einstaklinga við birtingu á úrskurðum sínum, en sú framkvæmd er í anda framangreindra ákvæða 7. gr. laga nr. 77/2000. Þá geta atvik verið með þeim hætti að stjórnvöld birti einungis útdrætti úr úrskurðum sínum, en slíkt gæti átt við ef birting með öðrum hætti veitti almenningi auðveldlega kost á vitneskju um einkahagi viðkomandi einstaklinga.  

Með hliðsjón af þessu og með vísan til alls framangreinds er lagt fyrir [stofnun X], sbr. 1. mgr. 40. gr. laga nr. 77/2000, að afmá persónugreinanlegar upplýsingar úr niðurstöðu [nefndar Y], sem birt er á vefsíðu [stofnunarinnar]. Eigi síðar en hinn 5. apríl 2018 skal Persónuvernd hafa borist bréfleg staðfesting á því að upplýsingarnar hafi verið afmáðar.

 

Ú r s k u r ð a r o r ð:

 

Birting [stofnunar X] á persónuupplýsingum um kvartanda í niðurstöðu [nefndar Y] frá [...] á vefsíðu [stofnunarinnar] samrýmdist ekki lögum nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga. Eigi síðar en 5. apríl 2018 skal [stofnun X] senda Persónuvernd skriflega staðfestingu á því að persónugreinanlegar upplýsingar hafi verið afmáðar úr niðurstöðu [nefndar Y], sem birt er á vefsíðu stofnunarinnar.

 



Var efnið hjálplegt? Nei